Regolamento Europeo in materia di protezione dei dati personali (GDPR)

Regolamento Europeo in materia di protezione dei dati personali (GDPR)

Da giorni le nostre caselle email per ogni newsletter che si rispetti riceviamo comunicazione sull’adeguamento delle informative sulla Privacy.

A distanza di diciannove anni dall’entrata in vigore – 8 maggio 1997 – della prima legge italiana in materia di privacy, ora   lo scorso  4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE   n.679/2016 (il coiddetto “GDPR”) che andata in viglore da oggi  25 maggio 2018 e cosa cambia rispetto a prima.

Di seguito una breve sintesi delle modifiche più significative introdotte.

– L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso: infatti,   ogniqualvolta vi sia trattamento di dati personali di soggetti stabiliti nell’Unione Europea da parte di un soggetto stabilito al di fuori della stessa,  al fine di offrire loro beni e/o servizi ovvero di monitorarne il comportamento, dovranno necessariamente essere applicate le prescrizioni del nuovo Regolamento.   Tale innovazione interesserà in particolar modo gli Internet service provider esteri: questi, infatti, non potranno sottrarsi all’applicazione della normativa europea in materia di privacy (si pensi, ad esempio,   alle norme in materia di validità del consenso raccolto) invocando l’assenza di un proprio stabilimento nel territorio UE.

-I requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi: in particolare, è previsto che tale consenso sia valido solo quando sia stato reso attraverso un atto positivo inequivocabile, rimanendo quindi esclusa la possibilità di presumerlo dall’inattività, dal silenzio dell’interessato o dalla preselezione di caselle.  In tal senso, la normativa europea si allinea alla disciplina italiana in materia di consenso al trattamento, da sempre tra le più rigorose. Il consenso al trattamento così reso potrà inoltre essere sempre revocato, senza limiti di sorta, da parte degli interessati.

-Vengono espressamente previsti sia il diritto all’oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che il diritto alla portabilità degli stessi da un titolare del trattamento ad un altro su richiesta degli interessati.

-Viene poi introdotto il concetto della protezione dei dati personali “by design” e “by default”,

ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.

-In capo ai titolari del trattamento vengono altresì previsti l’obbligo di compiere una “valutazione d’impatto” iniziale per i trattamenti di dati più delicati e l’obbligo di tenere un registro delle attività relative al trattamento stesso.

-I titolari del trattamento sono, inoltre, soggetti ad un obbligo di notifica di eventuali violazioni di dati personali  di cui siano venuti a conoscenza verso i Garanti nazionali e/o gli interessati.

-Per gli enti pubblici e gli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui, viene introdotta la figura del c.d. Data protection officer: un soggetto, dipendente o professionista esterno all’ente,  esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti  dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, dall’altro, direttamente con il Garante.

-Viene introdotta la possibilità per i titolari e per i responsabili del trattamento di ottenere da parte di organismi certificatori accreditati ovvero da parte dell’autorità di controllo competente una certificazione riguardante la conformità del trattamento alla normativa prevista dal Regolamento.

-Infine, il regime sanzionatorio subisce un sensibile inasprimento: nel caso di violazioni delle norme previste dal Regolamento, infatti, sono previste sanzioni pecuniarie fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.

Restiamo in attesa  dunque nel futuro, in concreto, come verrà recepito (meglio, percepito) questo nuovo impianto normativo all’interno di ciascuno stato.

 

Luigi Borrone